가장 인기 높은 앱 200개 중 97%가 ATS 허술하게 도입 중
1월 1일부터 ATS 도입하지 않으면 앱스토어에 업로드 할 수 없어

[보안뉴스 문가용 기자] 지난 6월, 애플이 주최하는 세계 개발자 회의(Worldwide Developers Conference)에서 애플은 개발자들에게 2017년 1월 1일까지 ATS 기능(앱 전송 보안, App Transport Security)을 반드시 포함시켜야 한다고 당부했다. 그리고 그 마감 기한이 4주도 남지 않은 시점인 지금, ATS 기능이 작동되고 있는 iOS 앱은 눈을 씻고 봐도 찾기 힘들 정도다.


보안 업체인 앱소리티(Appthority)는 최근 iOS 기기들에 흔히 설치되어 있는 200개 앱들을 분석해 ATS가 얼마나 도입되어 있는지, 도입되어 있다면 어느 정도까지, 얼마나 완벽하게 구축되어 있는지를 살폈다. 특히 기업에서 업무용으로 자주 사용되고 있는 앱들을 선택했다고 한다.

그 결과 겨우 3%만이 ATS 기능을 완벽하게 도입한 것으로 나타났다. 나머지 97%는 ATS를 전혀 도입하지 않거나, 옵션 설정을 잘못해서 ATS가 완벽히 작동하지 못하도록 해놓은 상태였다. 83%, 즉 166개 앱은 모든 네트워크 환경에서 ATS 기능을 해제한 상태였다. 200개 앱 중 절반이 넘는 55%는 HTTPS 대신 HTTP 연결을 허용하고 있었다.

ATS 기능을 완벽하게 도입하지 못한 앱들로는 MS의 워드, 파워포인트, 엑셀, 원노트 등을 포함한 문서 작업 관련 툴과 페이스북과 왓츠앱 등의 유명 메신저 앱, 각종 손전등 앱과 바코드 리더기 앱들이 있었다. 말 그대로 가장 많은 사람들이 사용하는 200개 앱 중 대부분이 애플이 제시한 보안 기능을 제대로 활용하고 있지 않은 상태인 것.

ATS는 애플의 OS X 엘 캐피탄과 iOS 9에서부터 도입된 보안 기능으로, 애플리케이션과 웹이 HTTPS 방식으로 연결되도록 해준다. 또, TLS 1.2 및 상위 버전과의 호환성 문제도 해결해준다. 즉, 데이터 보안과 프라이버시 보호를 위한 일종의 암호화 툴이라고 볼 수 있다. 엘 캐피탄과 iOS 9에서는 ATS가 활성화되어 있는 게 디폴트다. 따라서 이것이 해제되어 있다는 건 개발자들이 일부러 옵션을 찾아들어가 비활성화시켰다는 뜻이 된다.

앱소리티의 부회장인 로비 포키시(Robbie Forkish)는 “인터넷과 연결되어야 하는 앱들의 경우 암호화가 불필요하거나 거추장스러울 때가 많다”고 설명한다. 개발자들이 앱의 원활한 사용과 높은 기능성을 위해 ATS를 꺼둘 필요를 느낄만하다는 것이다. 애플도 이 사실을 인지하고 ATS를 도입할 때 예외 옵션을 설정할 수 있도록 해두었다. 이는 개발자가 애플에 예외를 인정해달라는 요청을 발신하고, 애플이 이를 검토해서 결정을 내리는 방식으로 진행된다.

애플은 암호화의 도입을 강력하게 주장하는 기업 중 하나다. 2017년 1월 1일부로 ATS를 완전히 도입하거나, 그러지 못하는 타당한 이유를 제출해 애플의 승인을 받지 않으면 앱스토어에 앱을 업데이트하지 못하도록 할 계획이다. 개발자들이 애플 생태계에 남아있으려면 어떻게 해서든 이 ATS 문제를 해결해야만 한다는 뜻이다. 그것도 남은 3주 안에 말이다.

사용자들에게는 별 문제가 없을 것으로 보인다. 다만 애용하던 앱의 개발자들이 ATS 문제를 해결하지 못할 경우 내년부터 갑자기 다른 앱을 설치해야 하는 작은 불편함 정도는 겪을 수 있다. 애플은 “ATS 도입을 엄격하게 진행하지 않을 계획”이라며 “얼마든지 예외적인 경우를 고려할 준비가 되어 있다”고 설명한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>